安全虛擬主機(jī)配置技巧

2019-11-02 16:50:51

字體：大中小

供稿：網(wǎng)友

注入漏洞、上傳漏洞、弱口令漏洞等問題隨處可見。跨站攻擊，遠(yuǎn)程控制等等是再老套不過了的話題。有些虛擬主機(jī)管理員不知是為了方便還是不熟悉配置，干脆就將所有的網(wǎng)站都放在同一個(gè)目錄中，然后將上級(jí)目錄設(shè)置為站點(diǎn)根目錄。有些呢，則將所有的站點(diǎn)的目錄都設(shè)置為可執(zhí)行、可寫入、可修改。有些則為了方便，在服務(wù)器上掛起了QQ，也裝上了BT。更有甚者，竟然把Internet來賓帳號(hào)加入到Administrators組中！汗……！普通的用戶將自己的密碼設(shè)置為生日之類的6位純數(shù)字，這種情況還可以原諒，畢竟他們大部分都不是專門搞網(wǎng)絡(luò)研究的，中國(guó)國(guó)民的安全意識(shí)提高還需要一段時(shí)間嘛，但如果是網(wǎng)絡(luò)管理員也這樣，那就怎么也有點(diǎn)讓人想不通了。網(wǎng)絡(luò)安全問題日益突出，最近不又有人聲稱“萬網(wǎng)：我進(jìn)來玩過兩次了！”。這么有名氣的網(wǎng)絡(luò)服務(wù)商，也難免一逃啊！網(wǎng)站注入漏洞是最近還頻頻在報(bào)刊雜志上曝光的高校入侵……一句話，目前很大部分的網(wǎng)站安全狀況讓人擔(dān)憂！

　　這里就我個(gè)人過去的經(jīng)歷和大家一同來探討有關(guān)安全虛擬主機(jī)配置的問題。以下以建立一個(gè)站點(diǎn)cert.ecjtu.jx.cn為例，跟大家共同探討虛擬主機(jī)配置問題。

　　一、建立Windows用戶

　　為每個(gè)網(wǎng)站單獨(dú)設(shè)置windows用戶帳號(hào)cert，刪除帳號(hào)的User組，將cert加入Guest用戶組。將用戶不能更改密碼，密碼永不過期兩個(gè)選項(xiàng)選上。

　　二、設(shè)置文件夾權(quán)限

　　1、設(shè)置非站點(diǎn)相關(guān)目錄權(quán)限

　　Windows安裝好后，很多目錄和文件默認(rèn)是everyone可以瀏覽、查看、運(yùn)行甚至是可以修改的。這給服務(wù)器安全帶來極大的隱患。這里就我個(gè)人的一些經(jīng)驗(yàn)提一些在入侵中較常用的目錄。

　　C：/；D：/；……

　　C:/perl

　　C:/temp/

　　C:/Mysql/

　　c:/php/

　　C:/autorun.inf

　　C:/Documents and setting/

　　C:/Documents and Settings/All Users/「開始」菜單/程序/

　　C:/Documents and Settings/All Users/「開始」菜單/程序/啟動(dòng)

　　C:/Documents and Settings/All Users/Documents/

　　C:/Documents and Settings/All Users/Application Data/Symantec/

　　C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere

　　C:/WINNT/system32/config/

　　C:/winnt/system32/inetsrv/data/

　　C:/WINDOWS/system32/inetsrv/data/

　　C:/Program Files/

　　C:/Program Files/Serv-U/

　　c:/Program Files/KV2004/

　　c:/Program Files/Rising/RAV

　　C:/Program Files/RealServer/

　　C:/Program Files/Microsoft SQL server/

　　C:/Program Files/Java Web Start/　　

　　以上這些目錄或文件的權(quán)限應(yīng)該作適當(dāng)?shù)南拗啤Ｈ缛∠鸊uests用戶的查看、修改和執(zhí)行等權(quán)限。由于篇幅關(guān)系，這里僅簡(jiǎn)單提及。

　　2、設(shè)置站點(diǎn)相關(guān)目錄權(quán)限：

　　A、設(shè)置站點(diǎn)根目錄權(quán)限：將剛剛建立的用戶cert給對(duì)應(yīng)站點(diǎn)文件夾，假設(shè)為D：/cert設(shè)置相應(yīng)的權(quán)限：Adiministrators組為完全控制；cert有讀取及運(yùn)行、列出文件夾目錄、讀取，取消其它所有權(quán)限。

　　B、設(shè)置可更新文件權(quán)限：經(jīng)過第1步站點(diǎn)根目錄文件夾權(quán)限的設(shè)置后，Guest用戶已經(jīng)沒有修改站點(diǎn)文件夾中任何內(nèi)容的權(quán)限了。這顯然對(duì)于一個(gè)有更新的站點(diǎn)是不夠的。這時(shí)就需要對(duì)單獨(dú)的需更新的文件進(jìn)行權(quán)限設(shè)置。當(dāng)然這個(gè)可能對(duì)虛擬主機(jī)提供商來說有些不方便。客戶的站點(diǎn)的需更新的文件內(nèi)容之類的可能都不一樣。這時(shí)，可以規(guī)定某個(gè)文件夾可寫、可改。如有些虛擬主機(jī)提供商就規(guī)定，站點(diǎn)根目錄中uploads為web可上傳文件夾，data或者database為數(shù)據(jù)庫文件夾。這樣虛擬主機(jī)服務(wù)商就可以為客戶定制這兩個(gè)文件夾的權(quán)限。當(dāng)然也可以像有些做的比較好的虛擬主機(jī)提供商一樣，給客戶做一個(gè)程序，讓客戶自己設(shè)定。可能要做到這樣，服務(wù)商又得花不小的錢財(cái)和人力哦。

上一篇：[推薦]Win2003 Server安全配置完整篇第1/3頁

下一篇：目前比較流行的ASP木馬主要通過三種技術(shù)來進(jìn)行對(duì)服務(wù)器的相關(guān)操